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Il comitato europeo per la protezione dei dati 


visto l’articolo 70, paragrafo 1, lettera e), del regolamento (UE) 2016/679 del Parlamento europeo e 
del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al 
trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la 
direttiva 95/46/CE, 


HA ADOTTATO LE SEGUENTI LINEE GUIDA 


1 PARTE 1- INTRODUZIONE 


1.1 Contesto 


A norma dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea, i dati personali devono 
essere trattati in modo corretto, per finalità determinate e in base a un fondamento legittimo previsto 
dalla legge. A tale riguardo, l'articolo 6, paragrafo 1, del regolamento generale sulla protezione dei 
dati (t) (RGPD) stabilisce che il trattamento è lecito soltanto sulla base di una delle sei condizioni 
specificate di cui all’articolo 6, paragrafo 1, lettere da a) a f). L'individuazione della base giuridica 
appropriata corrispondente all'obiettivo e all'essenza del trattamento è di fondamentale importanza. 
Nell’individuare la base legittima appropriata, i titolari del trattamento devono tenere conto anche 
dell'impatto sui diritti degli interessati in maniera da rispettare il principio di correttezza. 


L'articolo 6, paragrafo 1, lettera b) del RGPD configura un fondamento di liceità per il trattamento di 
dati personali nella misura in cui «il trattamento è necessario all'esecuzione di un contratto di cui 
l'interessato è parte o all esecuzione di misure precontrattuali adottate su richiesta dello stesso» (2). 
Ciò sostiene la libertà d'impresa, garantita dall'articolo 16 della Carta, e riflette il fatto che talvolta non 
è possibile ottemperare alle obbligazioni contrattuali nei confronti dell'interessato senza che 
quest’ultimo fornisca determinati dati personali. Se il trattamento specifico è parte integrante 
dell'erogazione del servizio richiesto, il trattamento di tali dati è nell'interesse di entrambe le parti 
poiché altrimenti non sarebbe possibile fornire il servizio e dare esecuzione al contratto. Tuttavia, la 
possibilità di ricorrere a questa o a una delle altre basi giuridiche di cui all'articolo 6, paragrafo 1, non 
esenta il titolare del trattamento dall’osservanza degli altri requisiti previsti dal RGPD. 


Gli articoli 56 e 57 del Trattato sul funzionamento dell’Unione europea definiscono e disciplinano la 
libera prestazione dei servizi all’interno dell’Unione europea. Sono state adottate misure legislative 
specifiche dell'UE per quanto concerne i «servizi della società dell’informazione» (°). Tali servizi sono 
definiti come «qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via 
elettronica [...] e a richiesta individuale di un destinatario di servizi». Questa definizione si estende ai 
servizi che non sono pagati direttamente dalle persone che li ricevono (4), come i servizi online 


(1) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone 
fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE 
(RGPD). 

(2) Cfr. anche considerando 44. 

(3) Cfr. ad esempio la direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio e l’articolo 8 del RGPD. 

(4) Cfr. considerando 18 della direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 relativa a taluni 
aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno. 


finanziati mediante la pubblicità. Il termine «servizi online», come utilizzato nelle presenti linee guida, 
si riferisce ai «servizi della società dell’informazione». 


Lo sviluppo del diritto dell’Unione riflette l’importanza fondamentale dei servizi online nella società 
moderna. La diffusione di Internet sempre attivo sui dispositivi mobili e l'ampia disponibilità di 
dispositivi connessi hanno consentito lo sviluppo di servizi online in settori quali i socia/ media, il 
commercio elettronico, la ricerca su Internet, la comunicazione e i viaggi. Mentre taluni di questi servizi 
sono finanziati dai pagamenti degli utenti, altri sono forniti senza un corrispettivo monetario da parte 
del consumatore essendo invece finanziati dalla vendita di servizi pubblicitari online che permettono 
di rivolgersi in maniera mirata agli interessati. Il tracciamento del comportamento degli utenti ai fini di 
tale pubblicità è di frequente effettuato secondo modalità ignote all’utente (°); inoltre, tale attività può 
non essere immediatamente evidente in ragione della natura del servizio fornito, circostanza questa 
che rende praticamente impossibile all'interessato l'esercizio di una scelta informata sull’utilizzo dei 
propri dati. 


In questo contesto, il comitato europeo per la protezione dei dati (€) (EDPB) ritiene opportuno fornire 
orientamenti sull’applicabilità dell’articolo 6, paragrafo 1, lettera b), al trattamento di dati personali 
nel contesto dei servizi online, al fine di garantire che tale fondamento di liceità sia invocato soltanto 
ove opportuno. 


Il Gruppo di lavoro «Articolo 29» (WP29) si è già espresso sulla base giuridica costituita dalla necessità 
del trattamento per scopi contrattuali ai sensi della direttiva 95/46/CE nel suo parere sul concetto di 
interesse legittimo del titolare del trattamento (7). In generale, tali orientamenti restano pertinenti per 
quanto concerne l’articolo 6, paragrafo 1, lettera b), e il RGPD. 


1.2 Oggetto delle presenti linee guida 


Le presenti linee guida riguardano l’applicabilità dell’articolo 6, paragrafo 1, lettera b), al trattamento 
di dati personali nel contesto di contratti per servizi online, indipendentemente dalle modalità di 
finanziamento dei servizi. Le linee guida illustreranno gli elementi di liceità del trattamento ai sensi 
dell’articolo 6, paragrafo 1, lettera b), del RGPD e prenderanno in esame la nozione di «necessità» in 
quanto riferita al trattamento «necessario all'esecuzione di un contratto». 


Le norme in materia di protezione dei dati disciplinano aspetti importanti delle modalità di interazione 
dei servizi online con gli utenti, tuttavia non sono le uniche norme applicabili. La regolamentazione dei 
servizi online comporta responsabilità interfunzionali nei settori, tra l’altro, del diritto dei consumatori 
e del diritto in materia di concorrenza. Le considerazioni relative a questi settori del diritto esulano 
dall'oggetto delle presenti linee guida. 


Sebbene l’articolo 6, paragrafo 1, lettera b), possa applicarsi soltanto in un contesto contrattuale, le 
presenti linee guida non si pronunciano sulla validità in generale dei contratti relativi ai servizi online, 
in quanto ciò non rientra nelle competenze del comitato europeo per la protezione dei dati. Tuttavia i 
contratti e le clausole contrattuali devono essere conformi ai requisiti del diritto contrattuale e, se del 
caso per i contratti conclusi dai consumatori, alla normativa che tutela i consumatori, affinché il 
trattamento basato su tali clausole possa essere considerato corretto e lecito. 


(5) A tale proposito i titolari del trattamento devono rispettare gli obblighi di trasparenza stabiliti nel RGPD. 

(©) Istituito a norma dell'articolo 68 del RGPD. 

(7) Gruppo di lavoro «Articolo 29», Parere 06/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi 
dell'articolo 7 della direttiva (CE) 95/46 (WP217). Cfr. in particolare le pagine 12, 13, 19, 20, 21, 22 e 65. 
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Di seguito sono riportate talune osservazioni generali sui principi in materia di protezione dei dati, 
tuttavia non saranno esaminate tutte le questioni relative alla protezione dei dati che possono 
emergere durante il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettera b). | titolari del 
trattamento devono sempre garantire il rispetto dei principi di protezione dei dati di cui all'articolo 5 
e di tutti gli altri requisiti del RGPD nonché, se del caso, della legislazione relativa alla tutela della vita 
privata nel settore delle comunicazioni elettroniche. 


2 PARTE 2- ANALISI DELL'ARTICOLO 6, PARAGRAFO 1, LETTERA B) 


2.1 Osservazioni generali 


Il fondamento di liceità del trattamento di cui all'articolo 6, paragrafo 1, lettera b), va considerato nel 
contesto complessivo del RGPD, degli obiettivi di cui all'articolo 1 di quest’ultimo e dell’obbligo dei 
titolari di trattare i dati personali nel rispetto dei principi di protezione dei dati di cui all'articolo 5. Ciò 
comprende un trattamento corretto e trasparente dei dati personali che sia in linea con il principio di 
limitazione delle finalità e gli obblighi di minimizzazione dei dati. 


L'articolo 5, paragrafo 1, lettera a), del RGPD stabilisce che i dati personali devono essere trattati in 
modo lecito, corretto e trasparente nei confronti dell'interessato. Il principio di correttezza 
comprende, tra l’altro, il riconoscimento delle ragionevoli aspettative (ê) degli interessati, la 
considerazione di eventuali conseguenze negative per gli interessati a causa del trattamento e la 
valutazione del rapporto fra interessati e titolare del trattamento nonché degli effetti potenzialmente 
derivanti da squilibri in tale rapporto. 


Come menzionato, in termini di liceità, i contratti relativi ai servizi online devono essere validi ai sensi 
del diritto contrattuale applicabile. Un esempio significativo al riguardo è dato dalla circostanza per cui 
l'interessato sia un minore. In tal caso (e al di là del rispetto dei requisiti del RGPD, comprese le misure 
di «specifica protezione» che si applicano ai minori) (°), il titolare del trattamento deve garantire la 
conformità alle leggi nazionali pertinenti in materia di capacità negoziale dei minori. Inoltre, al fine di 
garantire il rispetto dei principi di correttezza e liceità, il titolare del trattamento deve soddisfare altri 
requisiti giuridici. Ad esempio, per i contratti conclusi da consumatori, può essere applicabile la 
direttiva 93/13/CEE concernente le clausole abusive nei contratti stipulati con i consumatori («direttiva 
sulle clausole abusive nei contratti») (t°). L'articolo 6, paragrafo 1, lettera b), non si limita ai contratti 
disciplinati dalla legge di uno Stato membro del SEE (11). 


(8) Taluni dati personali dovrebbero rimanere privati o essere trattati esclusivamente secondo determinate modalità e il 
trattamento dei dati non dovrebbe risultare inatteso per l'interessato. Nel RGPD, il concetto di «ragionevoli aspettative» è 
specificamente menzionato nei considerando 47 e 50 in relazione all’articolo 6, paragrafo 1, lettera f) e all’articolo 6, 
paragrafo 4. 

(°) Cfr. considerando 38 che fa riferimento al fatto che i minori meritano una specifica protezione relativamente ai loro dati 
personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate 
nonché dei loro diritti in relazione al trattamento dei dati personali. 

(19) Una clausola contrattuale che non è stata oggetto di negoziato individuale è abusiva ai sensi della direttiva sulle clausole 
abusive nei contratti «se, malgrado il requisito della buona fede, determina, a danno del consumatore, un significativo 
squilibrio dei diritti e degli obblighi delle parti derivanti dal contratto». AI pari dell'obbligo di trasparenza previsto dal RGPD, 
la direttiva sulle clausole abusive nei contratti impone l’uso di termini chiari e comprensibili. Di norma un trattamento di dati 
personali basato su quella che è considerata una clausola abusiva ai sensi della direttiva sulle clausole abusive nei contratti 
non sarà coerente con il requisito di cui all'articolo 5, paragrafo 1, lettera a), del RGPD secondo il quale il trattamento deve 
essere lecito e corretto. 

(11) II RGPD si applica a taluni titolari del trattamento al di fuori del SEE; cfr. l'articolo 3 di tale regolamento. 
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L'articolo 5, paragrafo 1, lettera b), del RGPD stabilisce il principio della limitazione delle finalità, che 
impone che i dati personali siano raccolti per finalità determinate, esplicite e legittime, e 
successivamente trattati in modo che non sia incompatibile con tali finalità. 


L'articolo 5, paragrafo 1, lettera c) del medesimo regolamento prevede il principio della 
minimizzazione dei dati, ossia il trattamento del minor volume di dati possibile per il conseguimento 
della specifica finalità. Questa valutazione integra le valutazioni della necessità del trattamento di cui 
all'articolo 6, paragrafo 1, lettere da b) ad f). 


Tanto il principio della limitazione della finalità quanto quello della minimizzazione dei dati sono 
particolarmente pertinenti nei contratti per i servizi online che di norma non sono negoziati 
individualmente. | progressi tecnologici consentono ai titolari del trattamento di raccogliere e trattare 
facilmente un quantitativo di dati personali superiore a quanto mai accaduto in passato. Di 
conseguenza sussiste l’elevato rischio che i titolari cerchino di includere nei contratti clausole generali 
di trattamento al fine di massimizzare la raccolta e gli utilizzi possibili dei dati, senza specificarne 
adeguatamente le finalità o tenere conto degli obblighi di minimizzazione dei dati. Come già affermato 
dal Gruppo di lavoro «Articolo 29»: 


La finalità della raccolta deve essere indicata in maniera chiara e specifica: deve essere 
sufficientemente dettagliata da consentire di stabilire quale tipo di trattamento è incluso nella 
finalità specifica e quale no, nonché da consentire di valutare il rispetto della legge e 
l'applicazione delle garanzie in materia di protezione dei dati. Per questi motivi, una finalità 
che sia vaga o generica, come ad esempio «migliorare l’esperienza degli utenti», «finalità di 
marketing», «finalità di sicurezza informatica» o «ricerca futura», senza ulteriori dettagli, di 
solito non soddisfa i criteri di specificità. * 


2.2 Interazione dell'articolo 6, paragrafo 1, lettera b) con altri fondamenti di liceità 
del trattamento 


Se il trattamento non è considerato «necessario all'esecuzione di un contratto», ossia quando un 
servizio richiesto può essere prestato senza lo svolgimento del trattamento specifico, il comitato 
europeo per la protezione dei dati riconosce che può essere applicabile un’altra base giuridica, purché 
siano soddisfatte le condizioni pertinenti. In particolare, in determinate circostanze, può essere più 
opportuno basarsi sul consenso liberamente espresso ai sensi dell’articolo 6, paragrafo 1, lettera a). In 
altri casi, l'articolo 6, paragrafo 1, lettera f), può costituire un fondamento di liceità più idoneo per il 
trattamento. La base giuridica deve essere individuata prima dell'attuazione del trattamento e deve 
essere specificata nelle informazioni fornite agli interessati conformemente agli articoli 13 e 14. 


È possibile che un’altra base giuridica, diversa dall’articolo 6, paragrafo 1, lettera b), possa 
corrispondere meglio all'obiettivo e al contesto del trattamento in questione. L'individuazione della 
base giuridica appropriata è legata ai principi di correttezza e limitazione delle finalità (18). 


Le linee guida del Gruppo di lavoro «Articolo 29» in materia di consenso chiariscono altresì che quando 
«il titolare del trattamento intende trattare dati personali che sono effettivamente necessari per 


(12) Gruppo di lavoro «Articolo 29», Working Party Opinion 03/2013 on purpose limitation (Parere 03/2013 sulla limitazione delle 
finalità, WP203), pagg. 15 e 16 (versione inglese). 

(13) Quando i titolari del trattamento si apprestano a individuare la base giuridica appropriata in linea con il principio di 

correttezza, troveranno difficile conseguire tale risultato se non hanno innanzitutto individuato chiaramente le finalità del 

trattamento oppure se il trattamento di dati personali va al di là di quanto necessario per le finalità specificate. 


20. 


21. 


22. 


23. 


l'esecuzione di un contratto il consenso non è la base legittima appropriata». Per altro verso, il 
comitato europeo per la protezione dei dati ritiene che, se il trattamento non è effettivamente 
necessario all'esecuzione di un contratto, tale trattamento può avvenire soltanto sul fondamento di 
un’altra base giuridica appropriata (14). 


Nel rispetto degli obblighi in materia di trasparenza, i titolari del trattamento dovrebbero assicurarsi 
di evitare qualsiasi confusione riguardo alla base giuridica applicabile. Ciò è particolarmente 
importante quando la base giuridica appropriata è l'articolo 6, paragrafo 1, lettera b), e gli interessati 
stipulano un contratto relativo a servizi online. A seconda delle circostanze, gli interessati possono 
erroneamente avere l'impressione di esprimere un consenso in linea con l'articolo 6, paragrafo 1, 
lettera a), firmando un contratto o accettando condizioni di servizio. Al tempo stesso, un titolare del 
trattamento potrebbe erroneamente presumere che la firma di un contratto corrisponda a una 
manifestazione di consenso ai sensi dell’articolo 6, paragrafo 1, lettera a). Si tratta di concetti 
assolutamente diversi. È importante distinguere tra l'accettazione di condizioni di servizio ai fini della 
conclusione di un contratto e la prestazione di un consenso ai sensi dell'articolo 6, paragrafo 1, 
lettera a), dato che tali concetti hanno requisiti e conseguenze giuridiche diversi. 


Per quanto concerne il trattamento di categorie particolari di dati personali, nelle linee guida sul 
consenso il Gruppo di lavoro «Articolo 29» ha osservato altresì che: 


L'articolo 9, paragrafo 2, non riconosce il trattamento «necessario all'esecuzione di un 
contratto» come un’eccezione al divieto generale di trattare categorie particolari di dati. Di 
conseguenza i titolari del trattamento e gli Stati membri che rientrano nel contesto di 
applicazione di tale circostanza dovrebbero esaminare le eccezioni specifiche di cui 
all'articolo 9, paragrafo 2, lettere da b) a j). Qualora non si applichi nessuna delle eccezioni da 
b) a j), l'ottenimento del consenso esplicito in conformità con le condizioni per il consenso valido 
previste dal regolamento rimane l’unica eccezione lecita possibile per trattare tali dati (33). 


2.3 Ambito di applicazione dell'articolo 6, paragrafo 1, lettera b) 


L’articolo 6, paragrafo 1, lettera b) si applica quando è soddisfatta une delle seguenti due condizioni: il 
trattamento in questione deve essere oggettivamente necessario all'esecuzione di un contratto 
stipulato con l’interessato, oppure il trattamento deve essere oggettivamente necessario al fine di 
attuare misure precontrattuali su richiesta di un interessato. 


2.4 Necessità 


La necessità del trattamento è un prerequisito per entrambe le condizioni di cui all'articolo 6, 
paragrafo 1, lettera b). Innanzitutto, è importante osservare che la nozione di ciò che è «necessario 
all'esecuzione di un contratto» non equivale alla semplice valutazione di ciò che è consentito o previsto 
nelle clausole di un contratto. La nozione di necessità ha un significato autonomo nel diritto 
dell’Unione europea, che deve rispecchiare gli obiettivi della normativa in materia di protezione dei 


(14) Per maggiori informazioni sulle implicazioni in relazione all’articolo 9, cfr. Gruppo di lavoro «Articolo 29», «Linee guida 
sul consenso ai sensi del regolamento (UE) 2016/679 (WP259)», approvate dal comitato europeo per la protezione dei dati, 
pagg. 21 e 22. 

(15) Gruppo di lavoro «Articolo 29», Linee guida sul consenso ai sensi del regolamento (UE) 2016/679 (WP259), approvate dal 
comitato europeo per la protezione dei dati, pag. 22. 
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dati (t€). Di conseguenza occorre tenere conto anche del diritto fondamentale alla tutela della vita 
privata e alla protezione dei dati personali (*’), nonché dei requisiti stabiliti dai principi in materia di 
protezione dei dati e, in particolare, dal principio di correttezza. 


Il punto di partenza consiste quindi nell’individuare la finalità del trattamento e, nel contesto di una 
relazione contrattuale, possono esservi molteplici finalità di trattamento. Tali finalità devono essere 
chiaramente specificate e comunicate all'interessato, nel rispetto degli obblighi di limitazione delle 
finalità e di trasparenza cui il titolare del trattamento è soggetto. 


La valutazione di ciò che è «necessario» comporta una valutazione combinata, basata sui fatti, del 
trattamento «per l’obiettivo perseguito e della possibilità che tale trattamento sia meno intrusivo 
rispetto ad altre opzioni disponibili per il conseguimento del medesimo obiettivo» (18). Laddove 
esistano alternative realistiche e meno invasive, il trattamento non è «necessario» (1°). L'articolo 6, 
paragrafo 1, lettera b), non si applicherà altrattamento che è utile, ma non oggettivamente necessario 
per eseguire il servizio oggetto del contratto o per adottare le pertinenti misure precontrattuali su 
richiesta dell’interessato, anche laddove ciò sia necessario per altre finalità commerciali del titolare 
del trattamento. 


2.5 Necessario all esecuzione di un contratto stipulato con l'interessato 


Un titolare del trattamento può invocare la prima opzione di cui all’articolo 6, paragrafo 1, lettera b), 
per trattare dati personali quando può stabilire, nel rispetto dei propri obblighi in materia di 
responsabilizzazione di cui all'articolo 5, paragrafo 2, sia che il trattamento ha luogo nel contesto di un 
contratto valido stipulato con l'interessato sia che il trattamento è necessario ai fini dell'esecuzione di 
tale specifico contratto concluso con l'interessato. Qualora un titolare non sia in grado di dimostrare 
a) l’esistenza di un contratto, b) la validità del contratto ai sensi del diritto contrattuale nazionale 
applicabile e c) l’oggettiva necessità del trattamento ai fini dell'esecuzione del contratto, tale titolare 
dovrebbe prendere in considerazione un’altra base giuridica per il trattamento. 


Un mero riferimento al trattamento dei dati o la semplice menzione di tale trattamento in un contratto 
non è sufficiente a far rientrare il trattamento in questione nell’ambito di applicazione dell'articolo 6, 
paragrafo 1, lettera b). Al contrario, il trattamento può essere oggettivamente necessario anche se non 
espressamente menzionato nel contratto. In ogni caso, il titolare del trattamento deve adempiere i 


(16) Nella sentenza Huber la Corte di giustizia dell’Unione europea ha affermato che «Si tratta quindi di una nozione autonoma 
[quella della necessità] del diritto comunitario che deve essere interpretata in maniera tale da rispondere pienamente alla 
finalità di tale direttiva [direttiva 95/46/CE] come definita dal suo art. 1, n. 1». Sentenza del 18 dicembre 2008, Heinz 
Huber/Bundesrepublik Deutschland, C-524/06, EU:C:2008:724, punto 52. 

(1?) Cfr. articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. 

(18) Cfr. strumentario del GEPD: Assessing the necessity of measures that limit the fundamental right to the protection of 
personal data (Valutazione della necessità di misure che limitano il diritto fondamentale alla protezione dei dati personali), 
pag. 5. 

(19) Nella causa Schecke, la Corte ha stabilito che, nell’esaminare la necessità del trattamento di dati personali, il legislatore 
doveva tener conto di misure alternative, meno intrusive. Sentenza del 9 novembre 2010, Volker und Markus Schecke GbR e 
Hartmut Eifert/Land Hessen, cause riunite C-92/09 e C-93/09, EU:C:2010:662. Ciò è stato ribadito dalla Corte nella causa 
Rigas, nella quale ha statuito che «[p]er quanto concerne la condizione relativa alla necessità del trattamento dei dati, si deve 
ricordare che le deroghe alla tutela dei dati personali e le limitazioni della stessa devono avvenire nei limiti dello stretto 
necessario». Sentenza del 4 maggio 2017, Valsts policijas Rīgas regiona pārvaldes Kārtības policijas parvalde/Rigas 
pašvaldības SIA «Rīgas satiksme», C-13/16, EU:C:2017:336, punto 30. Per imporre eventuali limitazioni all'esercizio del diritto 
alla tutela della vita privata e alla protezione dei dati personali in relazione al trattamento di dati personali occorre svolgere 
una verifica rigorosa di ciò che è «necessario»; cfr. strumentario del GEPD: Assessing the necessity of measures that limit the 
fundamentalrightto the protection of personal data (Valutazione della necessità di misure che limitano il diritto fondamentale 
alla protezione dei dati personali), pag. 7. 


28. 


29. 


30. 


31. 


32. 


propri obblighi in materia di trasparenza. Qualora un titolare intenda stabilire che il trattamento si 
fonda sull'esecuzione di un contratto stipulato con l'interessato, è importante valutare ciò che è 
oggettivamente necessario ai fini dell'esecuzione del contratto. Il concetto di «necessario 
all'esecuzione» richiede chiaramente qualcosa di più di una clausola contrattuale. Ciò è evidente anche 
alla luce dell'articolo 7, paragrafo 4. Sebbene tale disposizione riguardi soltanto la validità del 
consenso, essa opera, a titolo esemplificativo, una distinzione tra le attività di trattamento necessarie 
all'esecuzione di un contratto e le clausole che subordinano l'erogazione del servizio a talune attività 
di trattamento che di fatto non sono necessarie ai fini dell'esecuzione del contratto. 


A tale riguardo il comitato europeo per la protezione dei dati avalla gli orientamenti precedentemente 
adottati dal Gruppo di lavoro «Articolo 29» sulla disposizione equivalente di cui alla precedente 
direttiva, secondo la quale la nozione di «necessario all'esecuzione di un contratto stipulato con 
l'interessato»: 


[...] deve essere interpretata rigorosamente e non contempla le situazioni in cui il trattamento 
non è effettivamente necessario all'esecuzione di un contratto, bensì imposto unilateralmente 
all’interessato dal [titolare] del trattamento. Inoltre, il fatto che alcuni trattamenti di dati siano 
coperti da un contratto non significa automaticamente che tali trattamenti siano necessari alla 
sua esecuzione. [...] Anche se tali attività di trattamento sono espressamente menzionate in 
caratteri minuscoli nel contratto, questo fatto, da solo, non le rende «necessarie» 
all'esecuzione del contratto (2°). 


Il comitato europeo per la protezione dei dati ricorda inoltre che negli stessi orientamenti del Gruppo 
di lavoro «Articolo 29» si afferma che: 


In questo caso esiste un chiaro collegamento tra la valutazione della necessità e il rispetto del 
principio di limitazione delle finalità. È importante stabilire la ratio esatta del contratto, ossia 
la sua sostanza e il suo obiettivo fondamentale, poiché sarà questa la base su cui si valuterà se 
il trattamento dei dati è necessario alla sua esecuzione (24). 


Nel valutare se l’articolo 6, paragrafo 1, lettera b), costituisca una base giuridica appropriata per il 
trattamento nel contesto di un servizio contrattuale online, si dovrebbe tener conto dello scopo, della 
finalità o dell’obiettivo specifico/a del servizio. Ai fini dell’applicabilità dell'articolo 6, paragrafo 1, 
lettera b), è necessario che il trattamento sia oggettivamente necessario per una finalità che è parte 
integrante della prestazione di tale servizio contrattuale all'interessato. Il trattamento dei dati relativi 
al pagamento ai fini dell’addebito del servizio non è escluso da tale contesto. Il titolare del trattamento 
dovrebbe essere in grado di dimostrare in che modo l’oggetto principale del contratto specifico 
stipulato con l’interessato non sia di fatto realizzabile senza lo specifico trattamento dei dati personali 
in questione. Essenziale in questo contesto è il nesso tra i dati personali e i trattamenti in questione, 
nonché l'esecuzione o meno del servizio reso ai sensi del contratto. 


| contratti relativi a servizi digitali possono comprendere termini espliciti che impongono, tra l’altro, 
condizioni aggiuntive in materia di pubblicità, pagamenti o cookie. Un contratto non può ampliare 
artificiosamente le categorie di dati personali o le tipologie di trattamenti che il titolare necessita di 
effettuare per l'esecuzione del contratto ai sensi dell’articolo 6, paragrafo 1, lettera b). 


Il titolare del trattamento dovrebbe essere in grado di giustificare la necessità di tale trattamento 
avendo riguardo all'oggetto essenziale del contratto come inteso da entrambe le parti. A questo scopo 


(2°) Gruppo di lavoro «Articolo 29», Parere 6/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi 
dell’articolo 7 della direttiva 95/46/CE (WP217), pag. 20. 
(21) Ibidem, pag. 20. 
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33. 


34. 


35. 


si dovrà tenere conto non soltanto del punto di vista del titolare del trattamento, ma anche della 
ragionevole valutazione compiuta dall'interessato al momento della stipula del contratto e della 
possibilità di ritenere che l’’esecuzione” del contratto abbia luogo comunque anche in assenza del 
trattamento in questione. Sebbene il titolare del trattamento possa ritenere che il trattamento sia 
necessario per la finalità contrattuale, è importante che esamini attentamente il punto di vista di un 
interessato medio, al fine di garantire un'effettiva intesa reciproca in merito alla finalità del contratto. 


Ai fini della valutazione dell’applicabilità dell’articolo 6, paragrafo 1, lettera b), possono risultare utili 
le domande riportate di seguito: 


e qual è la natura del servizio fornito all'interessato? quali sono le sue caratteristiche 
distintive? 


e qualè la ratio esatta del contratto (ossia la sua sostanza e il suo oggetto fondamentale)? 
e quali sono gli elementi essenziali del contratto? 


e quali sono le prospettive e le aspettative reciproche delle parti contraenti? Come viene 
promosso o pubblicizzato il servizio all'interessato? Un utente medio del servizio potrebbe 
ragionevolmente aspettarsi che, tenuto conto della natura del servizio stesso, il 
trattamento previsto abbia luogo per l'esecuzione del contratto di cui è parte? 


Se la valutazione di ciò che è «necessario all’esecuzione di un contratto», che deve essere condotta 
prima di dare corso al trattamento, dimostra che il trattamento previsto va al di là di quanto 
oggettivamente necessario per l'esecuzione di un contratto, ciò non rende tale futuro trattamento 
illecito di per sé. Come già menzionato, l'articolo 6 chiarisce che esistono potenzialmente altre basi 
giuridiche sulle quali fare affidamento prima dell'inizio del trattamento (22). 


Se, durante il ciclo di vita di un servizio, vengono introdotte nuove tecnologie che modificano le 
modalità di trattamento dei dati personali oppure il servizio evolve in altro modo, occorre valutare 
nuovamente i criteri di cui sopra per stabilire se eventuali trattamenti nuovi o modificati possano 
trovare fondamento nell’articolo 6, paragrafo 1, lettera b). 








Esempio 1 


Un interessato acquista dei prodotti da un rivenditore al dettaglio online. L'interessato vuole pagare 
con carta di credito e desidera che i prodotti gli vengano consegnati al proprio domicilio. Al fine di 
soddisfare il contratto, tale rivenditore deve trattare le informazioni della carta di credito e l’indirizzo 
di fatturazione dell'interessato per finalità di pagamento, nonché l'indirizzo di residenza 
dell'interessato per effettuare la consegna. Di conseguenza l'articolo 6, paragrafo 1, lettera b), è 
applicabile come base giuridica a tali attività di trattamento. 


Tuttavia se il cliente ha optato per la spedizione presso un punto di ritiro, il trattamento dell'indirizzo 
di residenza dell'interessato non è più necessario per l'esecuzione del contratto di acquisto. Qualsiasi 
trattamento dell’indirizzo dell'interessato in questo contesto richiederà l'applicazione di una base 
giuridica diversa rispetto all’articolo 6, paragrafo 1, lettera b). 


(?2) Cfr. Gruppo di lavoro «Articolo 29», Linee guida sul consenso ai sensi del regolamento (UE) 2016/679 (WP259), approvate 
dal comitato europeo per la protezione dei dati, pag. 35, nelle quali si afferma che: «[a]i sensi del regolamento [generale sulla 
protezione dei dati] non è possibile passare da una base giuridica a un’altra». 
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36. 


37. 


38. 





Esempio 2 


II medesimo rivenditore al dettaglio online intende creare profili dei gusti e delle scelte in termini di 
stile di vita degli utenti, basati sulle loro visite sul sito web. Il perfezionamento del contratto di acquisto 
non dipende dalla creazione di tali profili. Anche qualora la profilazione sia espressamente menzionata 
nel contratto, ciò di per sé non rende la profilazione «necessaria» all'esecuzione del contratto. Se il 
rivenditore al dettaglio online desidera effettuare tale profilazione, deve fare affidamento su una base 
giuridica diversa. 





Nel contesto del diritto contrattuale e, se del caso, della normativa in materia di tutela dei 
consumatori, i titolari del trattamento sono liberi di progettare i propri servizi, contratti e attività 
commerciali. In taluni casi un titolare del trattamento potrebbe voler raggruppare più servizi separati 
o elementi di un servizio con finalità, caratteristiche o ratio differenti in un unico contratto. Ciò può 
creare una situazione del tipo «prendere o lasciare» per quegli interessati che intendono usufruire 
soltanto di uno dei servizi. 


Dal punto di vista del diritto in materia di protezione dei dati, i titolari del trattamento devono tenere 
conto del fatto che le attività di trattamento previste devono fondarsi su una base giuridica 
appropriata. Se il contratto è costituito da più servizi distinti o da più elementi di un servizio distinti 
che di fatto possono ragionevolmente essere svolti indipendentemente l’uno dall'altro, si pone la 
questione circa la misura in cui l’articolo 6, paragrafo 1, lettera b), possa fungere da base giuridica. 
L’applicabilità dell’articolo 6, paragrafo 1, lettera b), dovrebbe essere valutata nel contesto di ciascuno 
di tali servizi separatamente, considerando ciò che è oggettivamente necessario per ciascuno dei 
singoli servizi che l'interessato ha attivamente richiesto o sottoscritto. Tale valutazione può rivelare 
che certune attività di trattamento non sono necessarie per i singoli servizi richiesti dall'interessato, 
quanto piuttosto per il modello aziendale complessivo del titolare del trattamento. In tal caso 
l’articolo 6, paragrafo 1, lettera b), non costituirà una base giuridica per quelle attività. Tuttavia 
possono essere disponibili altre basi giuridiche per i trattamenti in questione, come l’articolo 6, 
paragrafo 1, lettera a) o f), a condizione che siano soddisfatti i criteri pertinenti. Di conseguenza la 
valutazione dell’applicabilità dell’articolo 6, paragrafo 1, lettera b), non incide sulla legittimità del 
contratto o del raggruppamento di servizi in quanto tale. 


Come rilevato in precedenza dal Gruppo di lavoro «Articolo 29», la base giuridica si applica soltanto a 
ciò che è necessario all'esecuzione di un contratto (23). Di conseguenza non si applica automaticamente 
a tutte le ulteriori azioni innescate da un’inosservanza o da qualsiasi altro incidente nell'esecuzione di 
un contratto. Tuttavia talune azioni possono essere ragionevolmente previste e necessarie nel 
contesto di una normale relazione contrattuale, come ad esempio l’invio di solleciti formali in merito 
a pagamenti scaduti oppure la correzione di errori o ritardi nell'esecuzione del contratto. L'articolo 6, 
paragrafo 1, lettera b) può disciplinare un trattamento di dati personali necessario in relazione a tali 
azioni. 








Esempio 3 


(3) Gruppo di lavoro «Articolo 29», Parere 6/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi 
dell'articolo 7 della direttiva 95/46/CE (WP217), pagg. 20 e 21. 
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39. 


40. 


41. 


42. 


43. 


44, 


Una società vende prodotti online. Il cliente contatta la società perché il colore del prodotto acquistato 
è diverso da quello concordato. Il trattamento dei dati personali del cliente al fine di rettificare tale 
aspetto può fondarsi sull’articolo 6, paragrafo 1, lettera b). 





La garanzia contrattuale può rientrare nell'esecuzione di un contratto e quindi la conservazione di 
taluni dati per un periodo specificato successivamente al perfezionamento dello scambio di 
beni/servizi o del pagamento ai fini della garanzia contrattuale può essere necessaria all'esecuzione di 
un contratto. 


2.6 Risoluzione del contratto 


Un titolare del trattamento deve individuare la base giuridica appropriata per le operazioni di 
trattamento previste prima dell’inizio del trattamento. Qualora l’articolo 6, paragrafo 1, lettera b), 
costituisca il fondamento giuridico di talune o della totalità delle attività di trattamento, il titolare 
dovrebbe prevedere le conseguenze in caso di risoluzione del contratto (%4). 


Qualora il trattamento di dati personali sia basato sull'articolo 6, paragrafo 1, lettera b) e il contratto 
sia risolto totalmente, in linea di massima il trattamento di tali dati non sarà più necessario per 
l'esecuzione del contratto e di conseguenza il titolare del trattamento dovrà cessare l’attività di 
trattamento. L'interessato potrebbe aver fornito i propri dati personali nel contesto di una relazione 
contrattuale confidando nel fatto che i dati sarebbero stati trattati esclusivamente per quanto 
necessario nell’ambito di tale relazione. Di conseguenza, in linea di principio, è scorretto passare a una 
nuova base giuridica una volta che quella originaria cessi di esistere. 


In caso di risoluzione di un contratto, possono rendersi necessarie determinate attività amministrative 
come la restituzione di beni o di un pagamento. Il trattamento associato può basarsi sull’articolo 6, 
paragrafo 1, lettera b). 


L'articolo 17, paragrafo 1, lettera a), prevede che i dati personali vengano cancellati quando non sono 
più necessari per le finalità per le quali sono stati raccolti. Questa disposizione non si applica se il 
trattamento è necessario per determinate finalità, fra cui il rispetto di un obbligo legale ai sensi 
dell'articolo 17, paragrafo 3, lettera b) oppure l'accertamento, l'esercizio o la difesa di un diritto in 
sede giudiziaria ai sensi dell’articolo 17, paragrafo 3, lettera e). Nella pratica, se i titolari del 
trattamento ritengono necessario conservare informazioni per le finalità di cui sopra, devono 
individuare una base giuridica per tale eventualità sin dall’inizio del trattamento e devono comunicare 
chiaramente fin dall'inizio per quanto tempo intendono conservare le informazioni per tali finalità 
dopo la risoluzione del contratto. Qualora procedano in tal senso, non sono tenuti a cancellare i dati 
al momento della risoluzione del contratto. 


In ogni caso, è possibile che siano stati individuati preliminarmente più trattamenti aventi finalità e 
basi giuridiche distinte. Finché tali altri trattamenti rimangono leciti e il titolare ha fornito informazioni 
chiare in materia all’inizio del trattamento, in linea con gli obblighi di trasparenza previsti dal RGPD, 
rimarrà possibile trattare i dati personali relativi all'interessato per tali finalità distinte anche 
successivamente alla risoluzione del contratto. 


(24) Ai sensi dell'articolo 5, paragrafo 1, lettera a), se un contratto viene successivamente invalidato, ciò avrà effetti sulla 
liceità del proseguimento del trattamento. Tuttavia ciò non implica automaticamente che la scelta dell'articolo 6, paragrafo 1, 
lettera b), come base giuridica, fosse errata. 
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45. 


46. 


47. 








Esempio 4 


Un servizio online fornisce un servizio in abbonamento che può essere annullato in qualsiasi momento. 
AI momento della stipula di un contratto per tale servizio il titolare del trattamento fornisce 
informazioni all'interessato in merito al trattamento di dati personali. 


Il titolare del trattamento spiega, tra l’altro, che, in vigenza del contratto, egli tratterà i dati relativi 
all'utilizzo del servizio per emettere fatture. La base giuridica applicabile è l'articolo 6, paragrafo 1, 
lettera b), in quanto il trattamento per finalità di fatturazione può essere considerato oggettivamente 
necessario per l'esecuzione del contratto. Tuttavia in caso di risoluzione del contratto e supponendo 
che non vi siano contenziosi pendenti o obblighi giuridici di conservazione dei dati, la cronologia 
relativa all'utilizzo dovrà essere cancellata. 


Inoltre il titolare del trattamento informa gli interessati di essere soggetto a un obbligo di legge ai sensi 
del diritto interno che gli impone di conservare determinati dati personali per finalità contabili per un 
certo numero di anni. La base giuridica appropriata è l’articolo 6, paragrafo 1, lettera c) e la 
conservazione avverrà anche in caso di risoluzione del contratto. 





2.7 Necessario all esecuzione di misure precontrattuali 


La seconda opzione offerta dall'articolo 6, paragrafo 1, lettera b), si applica quando il trattamento è 
necessario all'esecuzione di misure precontrattuali prese su richiesta dell'interessato. Questa 
disposizione rispecchia il fatto che può essere necessario effettuare un trattamento preliminare di dati 
personali prima della conclusione di un contratto al fine di facilitare l'effettiva stipula dello stesso. 


AI momento del trattamento non è sempre chiaro se si giungerà o meno alla stipula di un contratto. 
La seconda opzione di cui all’articolo 6, paragrafo 1, lettera b), può comunque essere applicata purché 
l'interessato presenti la richiesta nel contesto della potenziale conclusione di un contratto e il 
trattamento in questione sia necessario per l'esecuzione delle misure precontrattuali richieste. 
Pertanto, qualora un interessato contatti il titolare del trattamento per chiedere informazioni circa i 
dettagli delle offerte di servizi di tale titolare, il trattamento dei dati personali dell'interessato ai fini 
della risposta alla richiesta di informazioni può basarsi sull’articolo 6, paragrafo 1, lettera b). 


In ogni caso questa disposizione non si applica all'invio di materiale pubblicitario non richiesto o ad 
altri trattamenti effettuati esclusivamente su iniziativa del titolare o su richiesta di una terza parte. 








Esempio 5 


Un interessato fornisce il proprio codice postale per sapere se il prestatore di un determinato servizio 
opera nella propria zona. Ciò può essere considerato un trattamento necessario all'esecuzione di 
misure precontrattuali su richiesta dell’interessato ai sensi dell’articolo 6, paragrafo 1, lettera b). 











Esempio 6 
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48. 


49. 


50. 





In taluni casi gli istituti finanziari sono tenuti a identificare i loro clienti ai sensi del diritto interno. Ai 
fini del rispetto di tale obbligo, prima di concludere un contratto con gli interessati, una banca chiede 
loro di esibire i documenti di identità. 


In questo caso, l’identificazione è necessaria in virtù di un obbligo legale cui la banca è soggetta 
piuttosto che ai fini dell'esecuzione di misure precontrattuali su richiesta dell'interessato. Di 
conseguenza la base giuridica appropriata non è l’articolo 6, paragrafo 1, lettera b), bensì l'articolo 6, 
paragrafo 1, lettera c). 





3 PARTE 3- APPLICABILITÀ DELL'ARTICOLO 6, PARAGRAFO 1, 
LETTERA B), IN SITUAZIONI SPECIFICHE 


3.1 Trattamento per finalità di «miglioramento dei servizi» (2°) 


Spesso i servizi online raccolgono informazioni dettagliate sulle modalità di interazione degli utenti con 
il loro servizio. Nella maggior parte dei casi, la raccolta di dati relativi a parametri organizzativi 
concernenti un servizio o di dettagli relativi al coinvolgimento degli utenti non può essere considerata 
necessaria per la prestazione del servizio, in quanto il servizio può essere fornito in assenza del 
trattamento di tali dati personali. Tuttavia un prestatore di servizi può fondare tale trattamento su basi 
giuridiche alternative quali il legittimo interesse o il consenso. 


Il comitato europeo per la protezione dei dati non ritiene che l'articolo 6, paragrafo 1, lettera b), 
costituisca in via generale una base giuridica appropriata per un trattamento svolto ai fini del 
miglioramento di un servizio o dello sviluppo di nuove funzioni nel contesto di un servizio esistente. 
Nella maggior parte dei casi, un utente stipula un contratto per avvalersi di un servizio esistente. 
Sebbene la possibilità di apportare miglioramenti e modifiche a un servizio sia spesso 
sistematicamente inclusa nei termini contrattuali, tale trattamento non può essere considerato 
oggettivamente necessario, in via generale, all esecuzione del contratto stipulato con l'utente. 


3.2 Trattamento per finalità di «prevenzione delle frodi» 


Come rilevato in precedenza dal Gruppo di lavoro «Articolo 29» (29), il trattamento per finalità di 
prevenzione delle frodi può comportare il monitoraggio e la profilazione dei clienti. Secondo il comitato 
europeo per la protezione dei dati è probabile che tale trattamento ecceda quanto oggettivamente 
necessario all'esecuzione di un contratto stipulato con un interessato. Tuttavia il trattamento dei dati 
personali strettamente necessario per finalità di prevenzione delle frodi può costituire un legittimo 
interesse del titolare del trattamento (27) e può quindi essere considerato lecito se il titolare soddisfa i 
requisiti specifici di cui all'articolo 6, paragrafo 1, lettera f) (legittimo interesse). Inoltre, anche 
l'articolo 6, paragrafo 1, lettera c) (osservanza di un obbligo legale) potrebbe costituire una base 
giuridica per il trattamento in questione. 


(25) I servizi online possono altresì dover tenere conto della direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, 
del 20 maggio 2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali (GU L 136 
del 22.5.2019, pag. 1), che si applicherà a decorrere dal 12 gennaio 2022. 

(26) Gruppo di lavoro «Articolo 29», Parere 6/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi 
dell’articolo 7 della direttiva 95/46/CE (WP217), pag. 20. 

(27) Cfr. considerando 47, sesta frase. 
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51. 


52. 


53. 


54. 


55. 


56. 


3.3 Trattamento per finalità di pubblicità comportamentale online 


Spesso la pubblicità comportamentale online, nonché il tracciamento e la profilazione degli interessati 
che si accompagnano a tale forma di pubblicità, sono utilizzati per finanziare i servizi online. Il Gruppo 
di lavoro «Articolo 29» ha già espresso il proprio punto di vista su tale trattamento, dichiarando che: 


[la necessità contrattuale] non è un fondamento giuridico adeguato per creare un profilo dei 
gusti e delle scelte di stile di vita dell'utente sulla base della sequenza di clic che ha effettuato 
su un sito web e degli articoli che ha acquistato. Questo perché il [titolare] del trattamento dei 
dati non ha firmato un contratto per elaborare profili, bensì per fornire beni e servizi particolari, 
per esempio (28). 


Di norma il trattamento di dati personali per finalità di pubblicità comportamentale non è necessario 
all'esecuzione di un contratto per servizi online. In via generale, sarebbe difficile sostenere che il 
contratto non è stato eseguito perché non vi erano annunci di pubblicità comportamentale. Ciò è tanto 
più vero se si considera che gli interessati hanno il diritto assoluto, ai sensi dell’articolo 21, di opporsi 
al trattamento dei loro dati per finalità di marketing diretto. 


Inoltre, l’articolo 6, paragrafo 1, lettera b), non può costituire un fondamento di liceità per la pubblicità 
comportamentale online per il solo fatto che tale pubblicità finanzia indirettamente la prestazione del 
servizio. Sebbene il trattamento in questione possa sostenere la prestazione di un servizio, ciò non è 
sufficiente di per sé per constatarne la necessità ai fini dell'esecuzione del contratto in essere. Il titolare 
del trattamento dovrebbe tenere conto dei fattori di cui al punto 33. 


Considerando che la protezione dei dati è un diritto fondamentale garantito dall'articolo 8 della Carta 
dei diritti fondamentali, e che una delle finalità principali del RGPD è quella di fornire agli interessati il 
controllo sulle informazioni che li riguardano, i dati personali non possono essere considerati un bene 
commerciabile. Anche se l'interessato può acconsentire al trattamento di dati personali, (2°) non può 
cedere i propri diritti fondamentali attraverso tale accordo (39). 


Il comitato europeo per la protezione dei dati osserva altresì che, in linea con i requisiti in materia di 
tutela della vita privata nel settore delle comunicazioni elettroniche, con il parere del Gruppo di lavoro 
«Articolo 29» sulla pubblicità comportamentale (°t) e con il documento di lavoro 02/2013 che fornisce 
orientamenti sull’ottenimento del consenso per i cookie (??), i titolari del trattamento devono ottenere 
il consenso preventivo degli interessati per installare i cookie necessari a svolgere attività di pubblicità 
comportamentale. 


Il comitato europeo per la protezione dei dati rileva altresì che il monitoraggio e la profilazione degli 
utenti possono essere effettuati allo scopo di individuare gruppi di persone con caratteristiche simili, 


(28) Gruppo di lavoro «Articolo 29», Parere 6/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi 
dell’articolo 7 della direttiva 95/46/CE (WP217), pag. 20. 

(29) Cfr. direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, del 20 maggio 2019, relativa a determinati aspetti 
dei contratti di fornitura di contenuto digitale e di servizi digitali. 

(3°) Oltre al fatto che l’uso dei dati personali è disciplinato dal RGPD, vi sono altri motivi per cui il trattamento dei dati personali 
si distingue concettualmente dai pagamenti monetari. Ad esempio, il denaro può essere contato, il che significa che è possibile 
confrontare i prezzi in un mercato concorrenziale e di norma i pagamenti in denaro possono essere effettuati soltanto con la 
partecipazione dell’interessato. Inoltre i dati personali possono essere sfruttati da più servizi contemporaneamente. Una 
volta perduto il controllo sui propri dati personali, non è detto che tale controllo possa essere ripristinato. 

(31) Gruppo di lavoro «Articolo 29», Parere n. 2/2010 sulla pubblicità comportamentale online (WP171). 

(*2) Gruppo di lavoro «Articolo 29», Working Document 02/2013 providing guidance on obtaining consent for cookies 
(documento di lavoro 02/2013 sull’ottenimento del consenso per i cookie, WP208). 
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per consentire una pubblicità mirata a un pubblico di soggetti aventi caratteristiche simili. Tale 
trattamento non può essere svolto sulla base dell’articolo 6, paragrafo 1, lettera b), in quanto non si 
può affermare che tracciare e comparare le caratteristiche e i comportamenti dell'utente per finalità 
correlate alla pubblicità rivolta ad altre persone sia oggettivamente necessario all'esecuzione del 
contratto stipulato con l'utente (33). 


3.4 Trattamento per finalità di personalizzazione dei contenuti (34) 


Il comitato europeo per la protezione dei dati riconosce che la personalizzazione del contenuto può 
costituire (ma non sempre costituisce) un elemento intrinseco e atteso di taluni servizi online e che 
pertanto in alcuni casi può essere considerata necessaria per l'esecuzione del contratto con l'utente di 
tali servizi. La possibilità che un siffatto trattamento possa essere considerato un elemento intrinseco 
di un servizio online dipenderà dalla natura del servizio prestato, dalle aspettative dell'interessato 
medio alla luce non soltanto delle condizioni del servizio, ma anche del modo in cui il servizio viene 
promosso nei confronti degli utenti, e dalla possibilità di prestare il servizio anche in assenza di 
personalizzazione. Laddove la personalizzazione dei contenuti non sia oggettivamente necessaria ai 
fini del contratto sottostante, ad esempio se la fornitura di contenuti personalizzati è intesa a 
incrementare il coinvolgimento degli utenti in relazione a un servizio, ma non è parte integrante 
dell’utilizzo del servizio, i titolari del trattamento dovrebbero prendere in considerazione una base 
giuridica alternativa ove applicabile. 








Esempio 7 


Un motore di ricerca online di alberghi monitora le prenotazioni effettuate in passato dagli utenti al 
fine di creare un profilo delle rispettive spese abituali. Tale profilo viene successivamente utilizzato per 
raccomandare determinati alberghi all'utente nel presentare i risultati della ricerca. In questo caso la 
profilazione del comportamento pregresso e dei dati finanziari degli utenti non sarebbe 
oggettivamente necessaria all'esecuzione di un contratto, ossia la fornitura di servizi di ospitalità sulla 
base di particolari criteri di ricerca forniti dall'utente. Di conseguenza l'articolo 6, paragrafo 1, 
lettera b), non sarebbe applicabile a tale attività di trattamento. 


Esempio 8 


Un mercato online consente ai potenziali acquirenti di cercare e acquistare prodotti. Il mercato 
desidera mostrare suggerimenti personalizzati di prodotti sulla base dei contenuti precedentemente 
visualizzati dai potenziali acquirenti sulla piattaforma al fine di aumentare l’interattività. Questa 
personalizzazione non è oggettivamente necessaria per fornire il servizio offerto dal mercato. Di 
conseguenza un siffatto trattamento di dati personali non può fondarsi sull'articolo 6, paragrafo 1, 
lettera b), come base giuridica. 





(33) Cfr. anche Gruppo di lavoro «Articolo 29», Linee guida sul processo decisionale automatizzato relativo alle persone fisiche 
e sulla profilazione ai fini del regolamento 2016/679 (WP251 rev.01), approvate dal comitato europeo per la protezione dei 
dati, pag. 14. 

(34) I servizi online possono altresì dover tenere conto della direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, 
del 20 maggio 2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali (GU L 136 
del 22.5.2019, pag. 1), che si applicherà a decorrere dal 12 gennaio 2022. 
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